CSRFの説明に追記
2006年3月30日(木曜日)
CSRFの説明に追記
更新: 2006年4月3日
「開発者のための正しいCSRF対策 (www.jumperz.net)」。
CSRF の対策としては「攻撃者の知り得ない値」をリクエストに含める必要があり、その候補のひとつとして Cookie が上げられていました。それ自体は CSRF の対策としては正しいのですが、今回、Cookie の値を HTML 中に書き出すと別の危険性があるという指摘がされています。特定ブラウザ (MSIE) の問題ではあるのですが、確かに危険ですので、CSRFの解説に追記しておきました。
※ちなみに「CSSXSS」と呼ばれている問題の本質は「クロスドメインで任意の HTML の内容が読み取れてしまう」という点です。これは XSS とはあまり関係ありませんし、ある意味 XSS よりも危険です。その呼称は誤解を招くと個人的には思っています。
※2006-04-03追記: リンク先ですが、あっさりと閉鎖されてしまったようです。どう考えても名誉毀損を構成するような内容ではなかったと思いますが……。
- 「CSRFの説明に追記」へのコメント (16件)
- 前(古い): DNSコンテンツサーバは再帰問い合わせしないように
- 次(新しい): CSRFとCSSXSSは分けて議論したい